Da aprile 2023 si sono verificati oltre 10.000 attacchi multi-malware da parte di backdoor, keylogger e miner contro più di 200 aziende. Nell’aprile 2023 l’FBI ha riferito di una campagna multi-malware in cui i criminali informatici hanno attaccato le aziende con miner, keylogger e backdoor. Gli esperti di Kaspersky hanno analizzato ulteriormente la campagna e hanno scoperto che è ancora attiva.
Gli attacchi informatici identificati da Kaspersky si sono verificati tra maggio e ottobre di quest’anno e hanno preso di mira principalmente agenzie governative, aziende agricole e società di vendita all’ingrosso e al dettaglio. Secondo la telemetria di Kaspersky, gli oltre 10.000 attacchi hanno colpito oltre 200 utenti, la maggior parte dei quali in Russia, Arabia Saudita, Vietnam, Brasile e Romania. Occasionalmente hanno preso di mira anche sistemi negli Stati Uniti, in Marocco e in Grecia.
Trio infernale composto da backdoor, keylogger e miner
Kaspersky ha inoltre rivelato nuovi script dannosi che si infiltrano nei sistemi sfruttando le vulnerabilità dei server e delle workstation. Una volta ottenuto l'accesso, lo script tenta di manipolare Windows Defender per ottenere diritti amministrativi e interrompere il funzionamento di vari software antivirus.
Lo script tenta quindi di scaricare una backdoor, un keylogger e un miner da un sito che ora è offline. Il minatore ora accede alle risorse di sistema per estrarre varie criptovalute, come Monero (XMR). Nel frattempo, il keylogger registra la sequenza completa dei colpi di mouse e tastiera dell'utente. Allo stesso tempo, la backdoor stabilisce una connessione con un server C2 (comando e controllo) per ricevere e trasmettere dati. Ciò consente all'aggressore di ottenere il controllo remoto del sistema compromesso.
Gli aggressori cercano solo un guadagno finanziario
“Questa campagna multi-malware si sta evolvendo rapidamente introducendo nuove modifiche. La motivazione dell’aggressore sembra essere esclusivamente un guadagno finanziario utilizzando tutti i mezzi disponibili”, spiega Vasily Kolesnikov, esperto di sicurezza di Kaspersky. “La ricerca dei nostri esperti di sicurezza informatica suggerisce che questi non si limitano al mining di criptovalute. Potrebbero invece includere anche la vendita di credenziali di accesso rubate sul dark web o l’esecuzione di scenari avanzati utilizzando funzionalità backdoor. I nostri prodotti come Kaspersky Endpoint Security sono in grado di rilevare tentativi di infezione, compresi quelli di nuove modifiche, grazie alle loro funzioni di protezione complete.”
Altro su Kaspersky.de
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/